Section categories

Life [55]
lives
Hacker news [55]
file
Hack [30]
bug learn
Hacker's culture [26]
thoughts self learn
Hack Teams [1]
team
War#Peace [35]
army

Blog

Home » 2015 » October » 13 » 美国网络安全公司号称通过社工发现中国军方黑客
12:55 PM
美国网络安全公司号称通过社工发现中国军方黑客

       美国网络安全公司ThreatConnect和咨询公司DGI共同发表的一份报告称:一个名叫葛星(译名)的黑客身份露出水面,而他隶属于解放军78020部队,通过葛星,专家找到了78020部队与一个名为Naikon黑客组织之间的关系。

葛星何许人?

《华尔街日报》报导说,明面上葛星是中国成都军区78020部队的一名泰国政治研究者,曾在中国杂志上发表多篇有关泰国政治民主化议题的学术文章。葛星于2008年发表的两篇论文中,作者单位均为78020部队。

ThreatConnect和DGI通过对其社交网络发言的分析表明,葛星居住在昆明,最近有了孩子,是一名山地车爱好者。他驾驶一辆白色大众高尔夫轿车,偶尔批评一下中国政府。此人似乎不像是个黑客。

葛星的社交媒体发言表明他是一个山地车爱好者。昆明一个自行车俱乐部的创建人认出了葛星的照片,说他有时会加入该俱乐部在昆明地区的骑行活动。

像许多中国的户外运动爱好者一样,葛星在想到污染的天空时就流露出期盼的念头。在一张于78020部队大院内拍摄的天空照片中,葛星评论道:“今天空气质量一般。祝愿大家和平,世界安宁。”

但是,葛星在互联网上的其它活动却将他和一个专门攻击对美国具有战略意义目标的中国军队黑客团体连在一起。ThreatConnect和DGI的报告指出,葛星以及他所在的78020部队和一个名叫“Naikon”的黑客组织有直接关联。

社工获取网上虚拟身份?

葛星被发现,是因为他违反了Naikon的一贯模式。为了盗窃情报而不被发现,Naikon使用了几百个特殊的互联网域名。大多数此类域名模仿目标国家的真实网址。但是“greensky27”的域名却很特立独行。

通过对“greensky27”域名5年的研究,研究者们发现,此域名频繁并长时间的访问中国城市昆明的网址。DGI里讲中文的分析师顺藤摸瓜,发现了使用“greensky27”网名并取得了该帐号在昆明的社交网络纪录。

通过对比Naikon网络中“greensky27”域名和社交网络的帐号,研究者们发现了一个固定模式。比如2012年2月,黑客“greensky27”域名多次访问北京的互联网服务器。同一天,腾讯微博上的用户“greensky27”发微博说正在北京。同年11月,百度用户“greensky27”在百度发帖说生了个男孩。此后黑客“greensky27”的域名沉寂了一个多星期,和休假照顾老婆孩子吻合。

2013年,腾讯用户“greensky27”发布的照片称,他去云南玉溪县参拜了葛氏祠堂。葛星的全名、电话号码以及工作单位从此曝光。但是,他的军职和阶级仍不明。

葛星于2011年和2013年在工作时间拍摄的天际线证实他确实是在中国军队工作。这些照片显示,其拍摄地点是昆明市中心的军队大院内部。另一系列照片中有积雪覆盖的车辆、停车场和水塔,也被证实是在同一地点拍摄。《华尔街日报》记者最近的实地调查证明,该大院的确属于中国解放军78020部队。但该部队宣传办公室人员拒绝透露葛星是否在那里工作。

网名为“greensky27”的用户对自己的军队背景从不隐瞒。腾讯用户“greensky27”称,自己于1998年毕业于中国解放军国际关系学院。2014年,同一用户发布了一系列游览该大学南京校区的照片,并附言说“只贴不说,自己看”。几周后,他又发布了解放军火灾演练以及庆祝中国建军87周年活动的照片。自从葛星2012年有了儿子之后,他的社交媒体发言转向家庭生活、天气和旅行。但在《华尔街日报》记者和葛星通话后不到一天,腾讯账户“greensky27”即被删除。

对黑客域名“greensky27”的分析发现,此人有正常的每周工作时间。这名黑客一般北京时间每天早上9点上线,然后在下午6点下线。在中国新年期间,此人一般不上线,但是也有例外。2012年中国新年(1月23日)期间,“greensky27”照例休假。但在一个菲律宾代表团同美国展开有关军事合作的对话曝光之后,“greensky27”突然在一天之后的1月27日再度活跃。

ThreatConnect的数据表明,2012年起,黑客域名“greensky27”频繁访问泰国的域名和网址。2014年5月美国司法部起诉了5名中国61398部队的黑客之后,其访问量开始下降。

ThreatConnect和DGI发现,葛星在社交媒体上的用户名为“greensky27”。而黑客组织Naikon里,也有一个“greensky27”。在此报告发表前,ThreatConnect和DGI将其草稿交给了《华尔街日报》。今年8月,《华尔街日报》记者在和葛星的短暂通话中,证实“greensky27”确为葛星在社交媒体上的用户名,但葛星拒绝谈论他是否是ThreatConnect和DGI报告中的主人公。他在电话中威胁《华尔街日报》记者说,如果见报,他就报告警察。从此以后,葛星再没有接电话,也没有回复短信。ThreatConnect公司说,《华尔街日报》记者在和葛星通话后大约一小时,黑客组织Naikon中的用户“greensky27”就停用了,近来一直处于离线状态。

黑客组织Naikon

据俄国反病毒软件公司卡巴斯基的报告,Naikon是一个高级持续性威胁(APT)组织。Naikon这个名字来自该组织使用的一款恶意软件中的一段代码。该组织惯于使用精心打造的钓鱼电子邮件,诱使收件人打开其带有恶意软件的附件。卡巴斯基实验室表示,Naikon过去使用的附件中,有老挝选美大赛佳丽拍摄的日历、有关战略话题的英文或本地语言新闻以及看上去像机密的备忘录等。卡巴斯基实验室称,Naikon使用这种被称之为“钓鱼”的技术,成功地打入越南、菲律宾以及其它南亚国家的政府、军队、媒体和能源公司网络。

供职于ThreatConnect公司的巴格尔(Richard Barger)说,和俄国黑客使用的恶意软件相比,Naikon的病毒还处于“石器时代”。但因为Naikon的对手不够老道,因此Naikon的成功率很高。

Category: Hacker news | Views: 439 | Added by: 0or1 | Rating: 0.0/0
Total comments: 0
Name *:
Email *:
Code *:

#Warning# 

  小伙伴,本博客数据大部分来源于伟大的internet,包括工具具有攻击性,请慎重使用、遵守天朝法律:-),当然,除非你牛B,,,Good luck! hacker!